MSN中咗招，點算！

木馬清除大師工作人員又率先截獲了MSN照片蠕蟲新變種:photos.zip,該蠕蟲目前正通過MSN瘋狂傳播,由於該蠕蟲是一個全新的變種,並 且在電腦系統運行後無進程,大大加大了發現的難度,所以目前大多數殺毒軟體都對此毫無反應,所以我們建議用戶不要輕易在MSN上接收好友發過來的莫名其 妙的文件。3。0版本增加了對多種該蠕蟲變種的查殺,2.0用戶請重新下載使用
技術分析:
MSN蠕蟲目前又有新變種傳播,傳播圖例如下:


圖片參考：http://www.lofocus.com/img/MsnWormSample1.jpg



中毒用戶會向MSN好友發送“hey you got a photo album? anyways heres my new photo album ?或者“Nice new photos of me and my friends and stuff and when i was young lol...!!（請接收我的照片）”等英文消息，並會傳送“photos.zip”壓縮檔。如果用戶接收並運行該檔，就會中毒。


該zip檔解壓縮後如下圖所示:

圖片參考：http://www.lofocus.com/img/MsnWormSample2.jpg

運行流程:

該蠕蟲運行後,會向Windows目錄下複製一個自己zip檔的副本,並且向system32目錄下寫入一個s開頭的Dll檔,並且註冊為com組 件,這樣每次啟動電腦,該元件就會自動插入到系統進程並運行,所以用戶很難找到並刪除該檔,唯一表現現象就是在MSN上瘋狂向好友發送病毒檔,大量 消耗系統資源和網路帶寬.同時該蠕蟲給駭客留下了後門,駭客可以輕易竊取用戶電腦內的資料,所以對個人和企業用戶危害相當大.
木馬清除大師-"MSN照片"蠕蟲專殺工具清除截圖:

圖片參考：http://www.lofocus.com/img/MsnWormKill1.JPG

解决方案:
1.木馬清除大師用戶直接升級到2007.6.2日病毒庫即可徹底清除.

2.下載木馬清除大師專殺工具幾秒鐘即可清除.

3.不要輕易在MSN上接收好友發過來的莫名其妙的文件。

我都中左...我D FD會收到我嗰句"PLS SEE MY SEXY PHOTO...QUICK PLS"

跟住用系統還原...暫時都冇乜事......

我可以話你知，樓上各個方法都係唔得既，因為我之前中過招。
我俾個方法你啦，一定得。只要去此網http://webo.com.hk/orchunkin
下載個程式，一掃就搞掂，唔使搵唔使煩

已證實為 Win32/IRCBot.VX (7/2)
這個比舊的更可怕
一按就自動下載 + 執行
NOD32 的 2039版本已可偵測到

"Heeey! I saw a picture online and im definately sure its you , the one on the left rite??
h t t p://ww.xxxxxxxx.com/ picdata/39ak4f2/pict ure(DL).php

如收到以上信息,請勿按下連結!!!!!!!!

在今日(5/2)下午三時開始好多人的 MSN 收到

"Heeey! I found a picture of you online , Haha look at your face http://www.xxxxxxxxx x.com/PIC/DATA/14/Pa rtyG/pic(xxxx).php&a mp;amp;quot;

按了連結後會要求下載一個檔案，如果你已下載並開啟，表示你已經中了毒
病徵：Mouse 及 Keyboard 沒有反應，被迫手動重新開機
　　　自動透過MSN傳送以上訊息
　　　螢幕１８０度調轉
解決方法１：
1.按 ctrl + alt + de 叫出工作管理員 或於執行打 TASKMGR.EXE ---> Enter
2. 在工作管理員中按處理程式後停止 msync.exe 和 crsss.exe(不是 csrss.exe) (如果存在)
3. 刪除 C:\Windows\system32\msync.exe 和 c:\crsss.exe (如果存在)

*如不能手動刪除以上兩個檔案,請開啟NOTEPAD 輸入以下文字
-------------------- --------Start------- --------------------
del C:\Windows\system32\msync.exe /f
del c:\crsss.exe /f
pause
-------------------- -------End---------- -------------------
儲存成Delete.bat 存檔類型一定要是任何檔案
執行Delete.bat

4. 在開始 -> 執行 輸入 "msconfig&a mp;amp;quot; -> enter, 在啟動中找到"Syncroniza tion"後請untick在旁的小格.

# 如果在 msconfig 中的啟動未能夠尋找到 "Syncroniza tion", 你可嘗試在 "位置" 中找尋有沒有一個指著 C:\Windows\system32\msync.exe
# 如果有請untick在旁的小格, 如果沒有理論上你 reboot 後也不會再受這隻病毒影響, 除非你中的是這病毒的變種.

之後 reboot, 但請下次小心不要亂開 MSN 中的 URL.

解決方法２：

1.下載Hijackthis http://www12.discuss .com.hk/viewthread.p hp?tid=1741311)
2.按 ctrl + alt + de 叫出工作管理員 或於執行打 TASKMGR.EXE ---> Enter
3. 在工作管理員中按處理程式後停止 msync.exe 和 crsss.exe(不是 csrss.exe) (如果存在)
4. 刪除 C:\Windows\system32\msync.exe 和 c:\crsss.exe (如果存在)

*如不能手動刪除以上兩個檔案,請開啟NOTEPAD
輸入以下文字
-------------------- --------Start------- --------------------
del C:\Windows\system32\msync.exe /f
del c:\crsss.exe /f
pause
-------------------- -------End---------- -------------------
儲存成Delete.bat 存檔類型一定要是任何檔案
執行Delete.bat

5. 關閉你的IE,用HijackThis,按 Do a system scan only,如找到以下項目,請選取,按 Fix checked 修復
O4 - HKLM\..\Run: [Syncronization] C:\WINDOWS\system32\msync.exe

之後 reboot, 但請下次小心不要亂開 MSN 中的 URL.

FAQ :

1.我重新開完機就有個系統設定公用程式,點算好?

因為你已改動msconfig
所以會有一個alertbox出來提你
只要你在按確定之前tick了那個check box之後再按確定
系統設定公用程式就不會再彈出來

2.我搞掂之後唔見咗d 連絡人,點算好?

1.開 windows messenger 最舊果個
2登入後按檔案 --->儲存連絡人清單
3.自行決定名字及位置後儲存
4.關閉windows messenger
5.開啟Windows Live Messenger
6.按連絡人--->匯入即時通訊的連絡人-->選擇剛剛儲存的檔案---> ok

3.msconfig入面仲有msync.exe / Syncronization , 點算好???

想永久刪除msconfig入面的 Syncronization，登入regedit：開始 -> 執行 -> regedit，找[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，直接刪除右邊那個 Syncronization 的字串，跟住Reboot
4.我個mon仲係180度調轉咗呀,點算好???
進入圖像卡的控制台(如ATi的Catalyst)
找找有沒有旋轉或類似的字眼,
如有請查看是否設定為正常,若非當然設回正常

參考資料:
http://www11.discuss .com.hk/viewthread.p hp?tid=3404680&e xtra=page=1

洗機係最好既方法~(我早個幾日早左就即洗機)
但係我有fd話可以將時間較返去2個鐘之前都得~(呢個我就未試過)

2007-06-08 10:17:42 補充：
係中左@@